Security Infrastructure
Découvre les équipements et architectures de sécurité réseau : firewalls, IDS/IPS, DMZ, VPN, proxies et contrôle d'accès réseau. Apprends à concevoir un réseau défendable.
- Comprendre les différents types de firewalls et leur rôle
- Différencier IDS et IPS et leurs méthodes de détection
- Concevoir une architecture DMZ pour isoler les serveurs publics
- Maîtriser les types de VPN et leurs protocoles
- Connaître le rôle des proxies et du NAC (802.1X, RADIUS, TACACS+)
🧱 11.1 — Firewalls (pare-feu)
Le firewall est la première ligne de défense d'un réseau. Il contrôle le trafic entrant et sortant en appliquant des règles de sécurité (policies). Il décide quels paquets peuvent passer et lesquels doivent être bloqués.
Un firewall, c'est le vigile à l'entrée d'un bâtiment. Il vérifie l'identité de chaque visiteur (paquet) et consulte sa liste d'autorisations (règles ACL). Si tu es sur la liste, tu entres. Si tu n'es pas sur la liste ou si tu es interdit, tu es refoulé. Certains vigiles se souviennent de toi (stateful) et d'autres vérifient même le contenu de ton sac (deep packet inspection).
Types de firewalls
Packet Filtering Firewall (filtrage de paquets — Stateless)
Le type le plus basique. Opere au Layer 3-4 et examine chaque paquet independamment (stateless — sans memoire des connexions).
Criteres de filtrage (ACL-based) :
- Adresse IP source et destination
- Port source et destination
- Protocole (TCP, UDP, ICMP)
- Interface d'entree/sortie
- Flags TCP (SYN, ACK, FIN) — mais sans contexte de connexion
Avantages : rapide, leger, simple a configurer, faible consommation de ressources.
Inconvenients :
- Stateless : ne memorise pas les connexions — chaque paquet est evalue isolement
- Vulnerable aux attaques exploitant des connexions "etablies" (paquets ACK forges)
- Pas d'inspection du contenu applicatif
- Difficulte a gerer les protocoles dynamiques (FTP actif, SIP) qui utilisent des ports negocies
- Les regles basees sur les ACL peuvent devenir tres complexes sur les grands reseaux
Stateful Firewall (pare-feu a etat)
Amelioration majeure : le firewall maintient une table de connexions (state table / connection table) qui suit chaque session active.
Fonctionnement — State Tracking :
- Nouvelle connexion (SYN) : le firewall verifie les regles ACL. Si autorisee, il cree une entree dans la state table avec : IP src/dst, ports src/dst, protocole, etat TCP, timers
- Paquets suivants : chaque paquet est compare a la state table. S'il appartient a une connexion connue, il est automatiquement autorise sans verifier les ACLs (plus rapide)
- Paquets orphelins : un paquet qui ne correspond a aucune connexion etablie est bloque (ex: un paquet ACK forge sans SYN prealable)
- Fin de connexion : les sessions terminees (FIN/RST) ou expirees (timeout) sont retirees de la table
- UDP/ICMP : bien que sans etat par nature, le firewall cree des entrees "pseudo-stateful" basees sur des timers (ex: reponse UDP attendue pendant 30s)
Avantages : beaucoup plus securise, bloque les paquets forges, gere automatiquement le trafic retour, performant (lookup state table rapide).
Inconvenients : ne peut pas inspecter le contenu applicatif, vulnerable aux attaques sur la couche application, consomme plus de memoire (state table), susceptible aux attaques d'epuisement de state table (SYN flood).
Application-Level Gateway (proxy firewall)
Opere au Layer 7 (application). Agit comme intermediaire (proxy) entre le client et le serveur — casse completement la connexion.
Fonctionnement (proxy-based) :
- Le client se connecte au firewall, pas directement au serveur
- Le firewall etablit une nouvelle connexion vers le serveur de destination — deux connexions TCP separees
- Peut inspecter le contenu applicatif complet (commandes HTTP, headers, requetes SQL, commandes FTP, etc.)
- Peut filtrer des URLs specifiques, bloquer des telechargements, scanner des virus, verifier la conformite des protocoles
- Le serveur ne voit que l'adresse IP du proxy, pas celle du client — isolation complete
Avantages : inspection profonde du contenu, cache les adresses internes, peut logger toutes les transactions applicatives, authentification utilisateur possible.
Inconvenients : lent (chaque connexion est recreee), supporte un nombre limite de protocoles (necessite un proxy par protocole : HTTP, FTP, SMTP...), point de contention (bottleneck), latence elevee.
NGFW — Next-Generation Firewall
Combine toutes les fonctions precedentes plus des capacites avancees dans un seul equipement. C'est le standard actuel en entreprise.
Capacites :
- Packet filtering + stateful inspection : fonctions classiques de base
- Deep Packet Inspection (DPI) : analyse le contenu des paquets au-dela des headers (payload), detecte les menaces cachees dans le trafic applicatif
- IPS integre : detection et blocage des intrusions en temps reel avec signatures et detection d'anomalies
- Application Awareness : identifie les applications (YouTube, Skype, BitTorrent, Slack) meme sur des ports non standard ou chiffres. Permet des regles basees sur l'application et pas seulement le port
- Filtrage URL : categorisation des sites web (malware, adult, gambling, social media...) avec mise a jour cloud en temps reel
- SSL/TLS Inspection (SSL Decryption) : dechiffre le trafic HTTPS pour inspecter le contenu, puis re-chiffre avant de le transmettre. Necessite un certificat CA installe sur les clients. Controverse : impacte la vie privee.
- Threat intelligence : mise a jour automatique des signatures de menaces, IOCs (Indicators of Compromise), reputation IP/domaine via des feeds cloud
- Sandboxing : execution des fichiers suspects dans un environnement isole pour detecter les malwares zero-day
- User Identity Awareness : integration avec Active Directory pour creer des regles basees sur l'utilisateur/groupe (pas seulement l'IP)
Exemples : Palo Alto Networks (PA-Series), Fortinet FortiGate, Cisco Firepower/Secure Firewall, Check Point Quantum, Juniper SRX.
ACL — Access Control Lists
Les ACL sont les regles qui definissent quel trafic est autorise ou bloque. Elles sont evaluees de haut en bas : la premiere regle qui correspond est appliquee, les suivantes sont ignorees.
Types d'ACL Cisco
| Type | Numeros | Criteres de filtrage | Placement recommande |
|---|---|---|---|
| ACL Standard | 1-99, 1300-1999 | Adresse IP source uniquement | Le plus pres de la destination (filtrage grossier) |
| ACL Extended | 100-199, 2000-2699 | IP source, IP destination, protocole, port source, port destination | Le plus pres de la source (filtrage precis) |
| ACL Named | Nom textuel | Standard ou Extended, identifiee par un nom au lieu d'un numero | Selon le type (standard ou extended) |
Exemples de configuration Cisco
! ACL Standard — bloque tout le reseau 10.0.0.0
access-list 10 deny 10.0.0.0 0.255.255.255
access-list 10 permit any
! ACL Extended — autorise HTTP/HTTPS depuis le LAN vers Internet
access-list 110 permit tcp 192.168.1.0 0.0.0.255 any eq 80
access-list 110 permit tcp 192.168.1.0 0.0.0.255 any eq 443
access-list 110 permit udp 192.168.1.0 0.0.0.255 host 10.0.0.53 eq 53
access-list 110 deny ip any any
! ACL Named
ip access-list extended WEB-FILTER
permit tcp 192.168.1.0 0.0.0.255 any eq 443
deny ip any anyWildcard Masks
Les ACL Cisco utilisent des wildcard masks (masques inversees) au lieu des masques de sous-reseau classiques. Un bit 0 = doit correspondre, un bit 1 = ignore.
| Masque sous-reseau | Wildcard mask | Signification |
|---|---|---|
| 255.255.255.0 (/24) | 0.0.0.255 | Correspond au reseau /24 (les 24 premiers bits doivent correspondre) |
| 255.255.0.0 (/16) | 0.0.255.255 | Correspond au reseau /16 |
| 255.255.255.255 (/32) | 0.0.0.0 (ou mot-cle host) | Un seul hote exact |
| 0.0.0.0 (/0) | 255.255.255.255 (ou mot-cle any) | Tout le monde (toutes les adresses) |
Regles importantes des ACL
| # | Action | Source | Destination | Port | Protocole |
|---|---|---|---|---|---|
| 1 | PERMIT | 192.168.1.0/24 | Any | 80, 443 | TCP |
| 2 | PERMIT | 192.168.1.0/24 | 10.0.0.53 | 53 | UDP |
| 3 | DENY | Any | 192.168.1.0/24 | Any | Any |
| 4 | DENY | Any | Any | Any | Any |
deny ip any any. Tout le trafic qui ne correspond a aucune regle explicite est automatiquement bloque. C'est pourquoi toute ACL doit contenir au moins une regle permit, sinon tout le trafic sera bloque.
Zones de sécurité
Le firewall définit des zones avec des niveaux de confiance différents :
- Inside (Trust / LAN) : réseau interne, niveau de confiance élevé
- Outside (Untrust / WAN) : Internet, niveau de confiance zéro
- DMZ : zone intermédiaire pour les serveurs publics (détaillée en section 11.3)
🔍 11.2 — IDS / IPS (Intrusion Detection & Prevention Systems)
Les systèmes de détection et de prévention d'intrusion surveillent le trafic réseau à la recherche d'activités malveillantes ou suspectes.
Si le firewall est le vigile à l'entrée, l'IDS est la caméra de surveillance qui observe tout et déclenche une alarme en cas de comportement suspect. L'IPS, lui, est un vigile armé qui peut non seulement alerter mais aussi intervenir pour arrêter l'intrus en temps réel.
IDS vs IPS : les différences clés
| Caractéristique | IDS (Detection) | IPS (Prevention) |
|---|---|---|
| Action | Détecte et alerte | Détecte, alerte ET bloque |
| Placement | Hors du flux (SPAN/mirror) | Inline (dans le flux) |
| Impact si panne | Aucun — le trafic continue | Critique — le trafic est interrompu |
| Latence | Aucune | Légère (analyse en temps réel) |
| Réponse | Passive : alerte l'administrateur | Active : drop, reset, block |
Placement réseau
IDS — Hors du flux (passif)
L'IDS est connecté à un port SPAN (Switched Port Analyzer) ou mirror port du switch. Il reçoit une copie de tout le trafic.
- Ne modifie pas le trafic — analyse une copie
- Aucun impact sur les performances réseau
- Si l'IDS tombe en panne, le réseau continue de fonctionner
- Ne peut que détecter et alerter — il ne bloque rien
- Le temps de réponse dépend de l'administrateur
IPS — Inline (actif)
L'IPS est placé directement dans le flux de trafic (inline), généralement entre le firewall et le réseau interne.
- Tout le trafic passe à travers l'IPS
- Peut bloquer instantanément les paquets malveillants
- Actions possibles : drop, reset connection, block source IP
- Point de défaillance unique (single point of failure) — si l'IPS tombe, le trafic est coupé
- Mode fail-open (laisse passer si panne) ou fail-close (bloque tout si panne)
Methodes de detection
Detection par signatures (Signature-based)
Compare le trafic a une base de donnees de signatures connues (patterns d'attaques identifiees). Aussi appelee pattern matching.
- Avantages : tres precis pour les menaces connues, peu de faux positifs, rapide
- Inconvenients : ne detecte pas les attaques zero-day (inconnues), necessite des mises a jour frequentes des signatures, vulnerable aux techniques d'evasion (fragmentation, encodage)
C'est comme un douanier avec un livre de photos de criminels recherches. Il reconnait ceux qui sont dans le livre, mais pas les nouveaux criminels.
Detection par anomalies (Anomaly-based)
Etablit un profil de trafic "normal" (baseline) et alerte quand le comportement devie significativement de cette norme. Peut etre statistique ou base sur le machine learning.
- Avantages : peut detecter les attaques zero-day et les menaces inconnues, s'adapte au reseau
- Inconvenients : plus de faux positifs, necessite une periode d'apprentissage, sensible aux changements legitimes (deployments, migrations)
- Exemples de detection : pic soudain de trafic DNS (exfiltration), scan de ports inhabituel, volume anormal de connexions sortantes
C'est comme un gardien qui connait les habitudes de tout le monde dans le batiment. Si quelqu'un arrive a 3h du matin alors qu'il vient toujours a 9h, le gardien va trouver ca suspect.
Detection par politique (Policy-based)
Utilise des regles definies par l'administrateur qui decrivent ce qui est autorise ou interdit sur le reseau, independamment des signatures ou du comportement.
- Exemples : "aucun trafic Telnet autorise", "pas de FTP vers Internet", "pas de connexion SSH depuis le VLAN invites"
- Avantages : tres precis pour les politiques internes, pas besoin de baseline ou de signatures
- Inconvenients : necessite une definition manuelle detaillee des politiques, ne detecte pas les attaques qui respectent les politiques
Detection heuristique (Heuristic-based)
Utilise des algorithmes et des regles generiques pour identifier des comportements suspects, meme sans signature exacte. Combine souvent elements de signature et anomalie.
- Exemples : detection de shellcode dans un flux HTTP, identification de techniques d'evasion (encodage, fragmentation), analyse de sequences d'evenements
- Avantages : peut detecter des variantes d'attaques connues et certaines attaques zero-day
- Inconvenients : taux de faux positifs variable, necessite un tuning regulier
Snort / Suricata — Regles IDS/IPS
Snort (Cisco/open-source) et Suricata (OISF/open-source) sont les deux moteurs IDS/IPS open-source les plus utilises. Ils partagent une syntaxe de regles compatible.
Structure d'une regle Snort/Suricata
action protocole src_ip src_port -> dst_ip dst_port (options;)
# Exemple : detecter une tentative de connexion SSH depuis Internet
alert tcp $EXTERNAL_NET any -> $HOME_NET 22 (msg:"SSH connection attempt"; sid:1000001; rev:1;)
# Exemple : detecter le mot "password" dans le trafic HTTP
alert tcp $HOME_NET any -> $EXTERNAL_NET 80 (msg:"Password in cleartext HTTP"; content:"password"; nocase; sid:1000002; rev:1;)
# Exemple : detecter un scan SYN (flag SYN sans ACK)
alert tcp any any -> $HOME_NET any (msg:"SYN scan detected"; flags:S,12; threshold:type both, track by_src, count 20, seconds 5; sid:1000003; rev:1;)| Element | Description | Exemples |
|---|---|---|
| Action | Que faire si la regle correspond | alert (alerte), drop (bloque en IPS), pass (ignore), log |
| Protocole | Protocole a surveiller | tcp, udp, icmp, ip |
| IP/Port | Source et destination | $HOME_NET, $EXTERNAL_NET, any, 80, [80,443] |
| Direction | Sens du trafic | -> (unidirectionnel), <> (bidirectionnel) |
| Options | Criteres de detection | msg, content, sid, rev, flags, threshold |
Faux positifs et faux négatifs
| Type | Description | Conséquence |
|---|---|---|
| Faux positif (False Positive) | Le système alerte alors qu'il n'y a pas d'attaque | Fatigue d'alertes, perte de temps, trafic légitime bloqué (IPS) |
| Faux négatif (False Negative) | Le système ne détecte pas une vraie attaque | Intrusion non détectée — le plus dangereux |
| Vrai positif (True Positive) | Attaque réelle correctement détectée | Résultat idéal — le système fonctionne |
| Vrai négatif (True Negative) | Trafic légitime correctement ignoré | Résultat normal — pas d'alerte inutile |
🏗️ 11.3 — DMZ (Demilitarized Zone)
La DMZ est un sous-réseau isolé qui héberge les serveurs accessibles depuis Internet (serveur web, serveur email, serveur DNS public) tout en les séparant du réseau interne.
La DMZ, c'est comme le hall d'accueil d'une entreprise. Les visiteurs (trafic Internet) peuvent entrer dans le hall pour rencontrer la réception (serveurs publics), mais ils ne peuvent pas accéder aux bureaux privés (réseau interne) sans autorisation spéciale. Le hall est surveillé et séparé du reste du bâtiment par des portes sécurisées (firewalls).
Pourquoi une DMZ ?
- Les serveurs web, email et DNS doivent être accessibles depuis Internet
- Si ces serveurs sont sur le réseau interne et qu'ils sont compromis, l'attaquant a accès au LAN
- La DMZ isole les serveurs publics : même si un serveur DMZ est compromis, l'attaquant n'a pas accès direct au réseau interne
- Le firewall contrôle strictement le trafic entre les 3 zones : Internet ↔ DMZ ↔ LAN
Architecture DMZ
Zone non fiable. Tout le trafic venant d'Internet est potentiellement malveillant et doit être filtré.
Premier niveau de filtrage. Autorise uniquement le trafic vers les services publics de la DMZ (HTTP/443, SMTP/25, DNS/53). Bloque tout le reste.
Règles typiques :
- PERMIT Internet → DMZ : ports 80, 443 (web)
- PERMIT Internet → DMZ : port 25 (email)
- PERMIT Internet → DMZ : port 53 (DNS)
- DENY Internet → LAN : tout
Zone intermédiaire hébergeant les serveurs publics :
- Serveur Web (HTTP/HTTPS)
- Serveur Email (SMTP relay)
- Serveur DNS public
- Reverse Proxy
Ces serveurs peuvent communiquer avec Internet mais ont un accès très limité au réseau interne.
Deuxième niveau de filtrage, plus restrictif. Contrôle strictement le trafic entre la DMZ et le LAN.
Règles typiques :
- PERMIT DMZ → LAN : uniquement les ports spécifiques nécessaires (ex: DB port 3306)
- PERMIT LAN → DMZ : administration (SSH/22)
- DENY DMZ → LAN : tout le reste
Zone de confiance maximale. Contient les serveurs internes (Active Directory, base de données, fichiers), les postes de travail et les ressources sensibles.
Architectures DMZ : Single vs Dual Firewall
Single Firewall — 3-Leg Architecture
Un seul firewall avec 3 interfaces (aussi appele "three-legged firewall") :
- Interface 1 : WAN / Internet (Outside)
- Interface 2 : DMZ
- Interface 3 : LAN (Inside)
Avantages : moins couteux, plus simple a gerer, un seul equipement.
Inconvenients : point de defaillance unique (SPOF), si le firewall est compromis tout le reseau est expose, un seul vendeur/OS a compromettre.
Dual Firewall Architecture
Deux firewalls separent Internet, la DMZ et le LAN. Idealement de vendeurs differents pour eviter qu'une meme vulnerabilite compromette les deux.
- Firewall externe (front-end) : filtre Internet ↔ DMZ
- Firewall interne (back-end) : filtre DMZ ↔ LAN (regles plus restrictives)
Avantages : deux barrieres distinctes, diversite de vendeurs, compromission d'un firewall ne donne pas acces direct au LAN.
Inconvenients : plus couteux, plus complexe a gerer, double maintenance.
Bastion Host
Un bastion host est un serveur specialement securise (harden) place dans la DMZ, directement expose a Internet. Il est la premiere cible des attaquants.
- Systeme d'exploitation minimal et durci (hardened) — services inutiles supprimes
- Pas de comptes utilisateurs superflus, authentification forte
- Logging intensif et monitoring en temps reel
- Exemples : serveur web public, serveur DNS externe, proxy inverse, serveur email relay
- Considere comme potentiellement compromis — les regles du firewall interne doivent proteger le LAN meme si le bastion est pris
🔐 11.4 — VPN (Virtual Private Network)
Un VPN crée un tunnel chiffré à travers un réseau non sécurisé (comme Internet) pour protéger les communications. Il permet d'étendre un réseau privé de manière sécurisée.
Un VPN, c'est comme un tunnel souterrain blindé entre deux bâtiments situés de part et d'autre d'une zone dangereuse. Même si quelqu'un contrôle la surface (Internet), il ne peut ni voir ni accéder à ce qui passe dans le tunnel. Les données voyagent en sécurité à l'intérieur.
Types de VPN
VPN Site-to-Site
Connecte deux réseaux entiers entre eux de manière permanente à travers Internet.
- Le tunnel est établi entre deux routeurs ou firewalls VPN
- Les utilisateurs ne configurent rien — le tunnel est transparent
- Utilisé pour connecter des filiales au siège, des datacenters entre eux
- Le trafic entre les deux sites est automatiquement chiffré
Exemple : Le bureau de Paris et le bureau de Lyon sont connectés par un tunnel VPN site-to-site. Les employés des deux sites communiquent comme s'ils étaient sur le même réseau local.
VPN Remote Access (accès distant)
Permet à un utilisateur individuel de se connecter au réseau de l'entreprise depuis n'importe où.
- L'utilisateur installe un client VPN sur son PC/téléphone
- Le client établit un tunnel chiffré vers le concentrateur VPN de l'entreprise
- L'utilisateur obtient une adresse IP du réseau interne
- Utilisé pour le télétravail, les déplacements
Modes :
- Full tunnel : tout le trafic passe par le VPN (y compris la navigation web)
- Split tunnel : seul le trafic vers le réseau d'entreprise passe par le VPN; le reste (web) sort directement
Protocoles VPN
| Protocole | Couche | Port | Securite | Utilisation |
|---|---|---|---|---|
| IPsec | Layer 3 | UDP 500 (IKE), protocole 50 (ESP), protocole 51 (AH) | Chiffrement + authentification + integrite | Site-to-site (principal), remote access |
| SSL/TLS VPN | Layer 4-7 | TCP 443 | Chiffrement TLS | Remote access (clientless via navigateur ou client leger) |
| GRE | Layer 3 | Protocole 47 | Aucun (doit etre combine avec IPsec) | Encapsulation de protocoles multiples |
| WireGuard | Layer 3 | UDP 51820 | Chiffrement moderne (ChaCha20, Curve25519) | Moderne, rapide, simple, codebase minimaliste |
IPsec en detail
AH vs ESP
| Caracteristique | AH (Authentication Header) | ESP (Encapsulating Security Payload) |
|---|---|---|
| Protocole IP | 51 | 50 |
| Authentification | Oui (header IP inclus) | Oui (header IP exclus) |
| Integrite | Oui | Oui |
| Chiffrement | NON | OUI |
| Anti-replay | Oui | Oui |
| Compatible NAT | Non (modifie le header IP) | Oui (avec NAT-Traversal, UDP 4500) |
| Usage | Rare — integrite uniquement | Le plus utilise — chiffrement + integrite |
Tunnel Mode vs Transport Mode
Tunnel Mode
Le paquet IP entier (header + donnees) est chiffre et encapsule dans un nouveau paquet IP.
- Les adresses IP originales sont cachees
- Nouvel en-tete IP avec les adresses des passerelles VPN
- Utilise pour les connexions site-to-site
- Mode par defaut d'IPsec
- Plus d'overhead (en-tete IP supplementaire)
Transport Mode
Seule la charge utile (donnees) du paquet est chiffree. L'en-tete IP original est conserve.
- Les adresses IP source et destination restent visibles
- Moins de surcharge (overhead) que le tunnel mode
- Utilise pour les communications hote-a-hote
- Souvent combine avec L2TP (L2TP/IPsec)
IKE Phase 1 et Phase 2 (Internet Key Exchange)
IKE est le protocole qui negocie les parametres de securite et echange les cles avant que le tunnel IPsec soit etabli. Il fonctionne en deux phases :
Etablit un canal securise (ISAKMP SA) entre les deux pairs pour proteger les negociations de Phase 2.
- Authentification des pairs : pre-shared key (PSK), certificats numeriques, ou RSA signatures
- Negociation : algorithme de chiffrement (AES), hachage (SHA-256), groupe Diffie-Hellman (DH), duree de vie
- Echange de cles DH : generation d'une cle secrete partagee sans la transmettre
- Deux modes : Main Mode (6 messages, plus securise) ou Aggressive Mode (3 messages, plus rapide mais moins securise)
- Utilise UDP port 500
Negocie les parametres du tunnel IPsec lui-meme (IPsec SA) a travers le canal securise de Phase 1.
- Negociation : protocole (ESP ou AH), algorithme de chiffrement, hachage, mode (tunnel/transport), duree de vie
- Utilise le Quick Mode (3 messages)
- Genere les cles de session pour le chiffrement du trafic
- PFS (Perfect Forward Secrecy) : optionnel — effectue un nouvel echange DH pour chaque Phase 2, garantissant que la compromission des cles Phase 1 ne compromet pas Phase 2
- Resultat : deux SAs unidirectionnelles (une pour chaque direction du trafic)
Le trafic est maintenant chiffre et transmis via le tunnel IPsec. Les SAs sont renouvelees periodiquement (rekey) avant expiration.
SSL/TLS VPN
Alternative a IPsec, le VPN SSL/TLS utilise le protocole HTTPS (TCP 443) :
- Clientless (portal) : acces via un navigateur web — aucun client a installer. Acces limite aux applications web.
- Client leger (thin client) : applet Java ou plugin navigateur pour des protocoles supplementaires (RDP, SSH)
- Client complet (full tunnel) : logiciel installe (ex: Cisco AnyConnect, OpenVPN) qui cree un tunnel complet (toutes les applications)
- Avantage majeur : traverse facilement les firewalls et NAT (port 443 rarement bloque)
- Exemples : Cisco AnyConnect, Palo Alto GlobalProtect, OpenVPN, Fortinet FortiClient
- L'appareil de l'utilisateur est connecte a deux reseaux simultanement (entreprise + Internet non filtre)
- Un malware peut utiliser la connexion Internet directe pour exfiltrer des donnees du reseau d'entreprise sans passer par le firewall
- L'appareil peut etre compromis via Internet et servir de pont d'attaque vers le reseau d'entreprise
- Recommandation securite : utiliser le full tunnel pour un controle total, ou un split tunnel avec des regles strictes et un endpoint security robuste
🔄 11.4b — NAT / PAT (Network Address Translation)
Le NAT traduit les adresses IP privees (internes) en adresses IP publiques (externes) pour permettre la communication avec Internet tout en masquant l'infrastructure interne.
Types de NAT
Static NAT (NAT statique)
Mapping 1:1 permanent entre une adresse IP privee et une adresse IP publique.
- Chaque hote interne a une adresse publique dediee
- Utilise pour les serveurs qui doivent etre accessibles depuis Internet (web, email, DNS)
- Necessite autant d'adresses publiques que de serveurs
Router(config)# ip nat inside source static 192.168.1.10 203.0.113.10Dynamic NAT (NAT dynamique)
Mapping automatique depuis un pool d'adresses publiques. L'adresse est attribuee dynamiquement quand un hote initie une connexion.
- Pool d'adresses publiques partage entre les hotes internes
- Mapping 1:1 temporaire — une adresse publique par connexion active
- Si le pool est epuise, les nouvelles connexions sont refusees
PAT / NAT Overload (le plus courant)
Mapping N:1 — plusieurs adresses privees partagent une seule adresse publique en utilisant des numeros de port differents.
- Le type de NAT le plus utilise — votre box Internet utilise PAT
- Le routeur traduit l'IP source + port source en IP publique + port unique
- Jusqu'a ~65 000 traductions simultanees par adresse IP publique
- Aussi appele NAT overload ou NAPT (Network Address Port Translation)
Router(config)# ip nat inside source list 1 interface GigabitEthernet0/0 overloadTerminologie NAT
| Terme | Definition | Exemple |
|---|---|---|
| Inside Local | Adresse IP privee de l'hote avant NAT | 192.168.1.10 |
| Inside Global | Adresse IP publique representant l'hote apres NAT | 203.0.113.5 |
| Outside Local | Adresse IP du serveur distant vue depuis l'interieur | 8.8.8.8 |
| Outside Global | Adresse IP reelle du serveur distant | 8.8.8.8 |
🔄 11.5 — Proxy Servers
Un serveur proxy agit comme intermédiaire entre les clients et les serveurs. Il reçoit les requêtes, les évalue, et les transmet (ou non) au serveur de destination.
Forward Proxy vs Reverse Proxy
Forward Proxy (proxy sortant)
Se place entre les utilisateurs internes et Internet. Les requêtes des utilisateurs passent par le proxy avant d'atteindre Internet.
- Filtrage de contenu : bloquer l'accès à certains sites (réseaux sociaux, jeux, etc.)
- Cache : stocker les pages fréquemment consultées pour accélérer l'accès
- Anonymisation : cacher l'adresse IP des utilisateurs internes
- Logging : enregistrer toute l'activité web des utilisateurs
- Inspection : scanner le contenu téléchargé pour détecter les malwares
Exemples : Squid, Blue Coat, Zscaler.
Reverse Proxy (proxy entrant)
Se place devant les serveurs web et reçoit les requêtes des clients Internet à la place des serveurs.
- Load balancing : distribuer les requêtes entre plusieurs serveurs backend
- SSL termination : gérer le chiffrement TLS à la place des serveurs backend
- Cache : mettre en cache le contenu statique pour réduire la charge des serveurs
- Protection : cacher les serveurs backend (les clients ne connaissent pas leurs IP réelles)
- WAF (Web Application Firewall) : filtrer les requêtes malveillantes (injection SQL, XSS)
Exemples : Nginx, HAProxy, Cloudflare, AWS CloudFront.
Transparent Proxy
Un transparent proxy (aussi appele intercepting proxy) intercepte le trafic sans que le client ait besoin de configuration. Le client ne sait pas que ses requetes passent par un proxy.
- Le routeur ou switch redirige automatiquement le trafic HTTP/HTTPS vers le proxy (via WCCP ou policy-based routing)
- Avantage : aucune configuration cote client — deploiement facile sur tout le reseau
- Inconvenient : le proxy peut etre detecte par les applications, et l'interception HTTPS necessite un certificat CA sur les clients
- Utilisation : filtrage web en entreprise, controle parental, hotspots publics
Web Content Filtering
Le proxy peut filtrer le contenu web selon des politiques de securite :
- Filtrage par categorie : bloquer les categories de sites (malware, adult, gambling, social media, streaming)
- Filtrage par URL : listes blanches/noires d'URLs specifiques
- Filtrage par reputation : bloquer les domaines avec une mauvaise reputation (threat intelligence)
- Inspection de contenu : scanner les fichiers telecharges pour detecter les malwares
- DLP (Data Loss Prevention) : detecter et bloquer l'envoi de donnees sensibles vers l'exterieur
🔑 11.6 — NAC (Network Access Control)
Le NAC contrôle qui peut se connecter au réseau et sous quelles conditions. Avant d'accéder aux ressources réseau, chaque utilisateur et appareil doit être authentifié et vérifié.
802.1X — Port-Based Network Access Control
IEEE 802.1X est le standard d'authentification au niveau du port réseau. Trois rôles :
Le client qui veut se connecter au réseau (PC, laptop, téléphone). Il exécute un logiciel supplicant qui envoie les identifiants d'authentification.
L'équipement réseau qui contrôle l'accès au port (switch ou AP Wi-Fi). Il fait le relais entre le supplicant et le serveur d'authentification. Tant que l'authentification n'est pas réussie, le port reste bloqué.
Le serveur qui vérifie les identifiants (généralement un serveur RADIUS). Il consulte la base de données des utilisateurs (Active Directory, LDAP) et autorise ou refuse l'accès.
RADIUS vs TACACS+
| Caractéristique | RADIUS | TACACS+ |
|---|---|---|
| Développé par | IETF (standard ouvert) | Cisco (propriétaire) |
| Transport | UDP (1812/1813) | TCP (49) |
| Chiffrement | Mot de passe uniquement | Paquet entier chiffré |
| AAA | Authentication + Authorization combinées | Authentication, Authorization, Accounting séparés |
| Granularité | Moins granulaire | Contrôle par commande possible |
| Utilisation typique | Accès réseau (Wi-Fi, VPN) | Administration des équipements réseau |
EAP (Extensible Authentication Protocol)
EAP est le framework d'authentification utilise par 802.1X. Il encapsule les echanges d'authentification entre le supplicant et le serveur RADIUS. Plusieurs methodes EAP existent :
| Methode EAP | Authentification | Securite | Certificat requis |
|---|---|---|---|
| EAP-TLS | Certificat client + serveur (mutuelle) | Tres haute | Serveur ET client |
| PEAP | Tunnel TLS + identifiants (MSCHAPv2) | Haute | Serveur uniquement |
| EAP-TTLS | Tunnel TLS + methode interne | Haute | Serveur uniquement |
| EAP-FAST | PAC (Protected Access Credential) Cisco | Haute | Optionnel |
| LEAP | Challenge/response Cisco (obsolete) | Faible — vulnerable | Non |
Posture Assessment
Le NAC peut aussi verifier la posture de securite de l'appareil avant de l'autoriser :
- Antivirus installe et a jour ?
- Patches du systeme d'exploitation appliques ?
- Firewall personnel active ?
- Disque chiffre ?
- Pas de logiciel interdit installe ?
Si l'appareil ne respecte pas la politique, il peut etre place dans un VLAN de quarantaine avec un acces limite pour se mettre en conformite (remediation).
AAA — Authentication, Authorization, Accounting
Le modele AAA est le pilier du controle d'acces reseau. Il definit trois fonctions distinctes :
Qui es-tu ?
Verification de l'identite de l'utilisateur ou de l'appareil. Methodes : identifiant/mot de passe, certificat, token, biometrie, MFA.
Qu'as-tu le droit de faire ?
Definition des permissions et des ressources accessibles. Determine le VLAN, les ACLs, le niveau d'acces, les commandes autorisees.
Qu'as-tu fait ?
Journalisation de toutes les actions : heure de connexion/deconnexion, commandes executees, donnees transferees, ressources accedees. Essentiel pour l'audit et le forensics.
🗺️ 11.7 — Architecture réseau sécurisée complète
Voici une vue d'ensemble d'une architecture réseau d'entreprise intégrant toutes les couches de sécurité étudiées. Clique sur chaque composant pour comprendre son rôle :
Termine les tunnels VPN site-to-site et remote access (IPsec / SSL). Permet aux télétravailleurs et aux filiales de se connecter de manière sécurisée.
Protège les serveurs web en filtrant les requêtes malveillantes (SQL injection, XSS). Gère le SSL termination et le load balancing.
Next-Generation Firewall : filtrage stateful + deep packet inspection + identification des applications + threat intelligence. Première ligne de défense entre Internet et le réseau.
Placé juste après le firewall, analyse tout le trafic en temps réel. Détecte et bloque les attaques connues (signatures) et les anomalies de comportement.
Héberge les serveurs publics : serveur web, serveur email (SMTP relay), DNS public. Accessible depuis Internet mais isolée du LAN.
Collecte et corrèle les logs de tous les équipements (firewall, IDS/IPS, switches, serveurs). Détecte les patterns d'attaque et génère des alertes pour le SOC.
Deuxième barrière entre la DMZ et le réseau interne. Filtre strictement les communications DMZ → LAN. Seuls les flux nécessaires sont autorisés.
Contrôle l'accès au réseau : chaque appareil doit s'authentifier via 802.1X (RADIUS) et passer un contrôle de conformité avant d'accéder aux ressources.
Switches managed avec VLANs (segmentation), port security, DHCP snooping, dynamic ARP inspection. Chaque département a son propre VLAN.
Contrôle et filtre l'accès Internet des utilisateurs internes. Bloque les sites malveillants, journalise l'activité, scanne les téléchargements.
Postes de travail, serveurs internes (AD, fichiers, base de données), téléphones VoIP. Chaque segment est isolé par VLANs et protégé par les couches de sécurité supérieures.
📝 11.8 — Quiz de révision
Points cles du Module 11
- Les firewalls vont du simple packet filtering (stateless, ACL-based) au NGFW (DPI + IPS + app awareness + SSL inspection)
- Les ACL Standard (1-99) filtrent sur l'IP source; les ACL Extended (100-199) filtrent sur source, destination, protocole et ports. Toutes ont un implicit deny any
- L'IDS detecte et alerte (passif, mode SPAN); l'IPS detecte et bloque (actif, inline)
- 4 methodes de detection : signature (connues), anomaly (baseline), policy (regles admin), heuristic (algorithmes generiques)
- Snort/Suricata sont les moteurs IDS/IPS open-source de reference avec une syntaxe de regles compatible
- La DMZ isole les serveurs publics : architecture 3-leg (1 firewall) ou dual firewall (2 firewalls). Le bastion host est un serveur durci dans la DMZ
- IPsec : ESP chiffre + authentifie (standard), AH authentifie seulement (rare, incompatible NAT)
- IKE Phase 1 cree le canal securise (ISAKMP SA), Phase 2 negocie le tunnel IPsec (IPsec SA)
- Le split tunneling VPN cree un risque de pont d'attaque entre Internet et le reseau d'entreprise
- NAT/PAT : Static NAT (1:1), Dynamic NAT (pool), PAT (N:1 avec ports) — PAT est le plus courant
- Le forward proxy protege les clients, le reverse proxy protege les serveurs, le transparent proxy intercepte sans configuration client
- 802.1X : supplicant + authenticator + authentication server (RADIUS). EAP-TLS est le plus securise
- AAA : Authentication (qui es-tu ?), Authorization (que peux-tu faire ?), Accounting (qu'as-tu fait ?)
- La defense in depth empile plusieurs couches de securite independantes